- 综合排序
- 最热优先
- 最新优先
- 来自专栏IT云清
(11)SpringBoot整合EhCache做缓存
它具有如下特点: 快速 简单 多种缓存策略 缓存数据有两级:内存和磁盘,因此无需担心容量问题 缓存数据会在虚拟机重启的过程中写入磁盘 可以通过RMI、可插入API等方式进行分布式缓存 具有缓存和缓存管理器的侦听接口 (ehcache 默认值).缓存的元素有一个时间戳,当缓存容量满了,而又需要腾出地方来缓存新的元素的时候,那么现有缓存元素中时间戳离当前时间最远的元素将被清出缓存。 ,添加@CacheConfig(),然后在需要缓存的方法上添加对应的缓存注解。 因为我们之前查询过,此数据被缓存了,而且没有过期,所以我们查询时走缓存还是可以拿出来的。 id=1599991,会发现查询不出来了,因为我们删除执行后,把缓存中key为1599991的缓存数据删除了,所以缓存中再查询时查不到了。
1.8K10编辑于 2022-05-07 - 来自专栏网络安全
ThinkPHP 3.2.3 缓存漏洞深度解析
漏洞影响版本范围:3.2.3漏洞分析ThinkPHP3.2.3版本的文件缓存驱动(Think\Cache\Driver\File)在set()方法中,将用户输入数据序列化后直接写入以.php结尾的缓存文件 漏洞复现在ThinkPHP3.2.3版本的标准控制器中使用I()辅助函数获取用户输入参数,并通过S()辅助函数S('name',$writeData)将其写入缓存文件。 传入参数为($name='name',$value='payload',$options=null),该调用绕过函数的前两个条件分支,直接执行Think\Cache::getInstance()以实例化缓存驱动类
31320编辑于 2025-12-06 - 来自专栏玄魂工作室
CTF实战11 任意下载漏洞
重要声明 该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关 我们今天来了解一下任意下载漏洞,这个漏洞原理很简单 任意下载漏洞 <任意下载漏洞>也叫<任意文件下载漏洞> 许多网站开放下载文件功能,由于下载功能代码对下载文件类型、目录未做限制或限制不当,导致攻击者可下载服务器任意文件 这个漏洞的原理很简单,我们现在说说攻击思路 最后上面两种都不行那就直接数据库提权吧 其他源代码 下载到了没有数据库配置文件的源代码,我们可以做的有 分析源代码,寻找漏洞,进一步攻击 或者还有一种 服务器敏感文件 我们可以下载passwd、shadow 利用方法 <任意下载漏洞>的利用方法中的部分内容与<本地文件包含漏洞>的利用方法相同,如: 利用%00截断等绕过后缀限制等等
1.1K30发布于 2018-07-25 - 来自专栏极安御信安全研究院
漏洞分析丨HEVD-11.DoubleFetch
作者selph前言窥探Ring0漏洞世界:条件竞争漏洞在多线程访问临界区的情况下,使用进程互斥可以使多个线程不能同时访问操作关键区的变量,条件竞争漏洞就源于没有对可能会被多个线程访问的变量进行保护,导致多重访问使得在一次操作中 实验环境:•虚拟机:Windows 7 x86•物理机:Windows 10 x64•软件:IDA,Windbg,VS2022漏洞分析老样子,先IDA分析漏洞函数TriggerDoubleFetch,然后再看看源码首先初始化 GetExceptionCode(); DbgPrint("[-] Exception Code: 0x%X\n", Status); } return Status;}安全版本和漏洞版本的区别在于 安全版本一次性用局部变量保存了用户传来的值,然后进行校验和复制,不安全版本则是直接从用户内存去读取这个值来进行操作如果用户内存的这个结构的值是变化的,当校验的时候,Size合法,当复制的时候Size不合法,则可能造成缓冲区栈溢出漏洞利用通过多线程来实现对用户缓冲区的操作
1K10编辑于 2022-08-05 - 来自专栏全栈程序员必看
Oracle 11g 的PLSQL函数结果缓存
果缓存的失效操作(result_cache RELIES_ON(test1,test2))。试验证明不正确,函数f1()并没有使用RELIES_ON,但表上的变化影响到了函数。 连接到: Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 – 64bit Production With the Partitioning Testing options SQL> select * from v$version; BANNER ——————————————————————————– Oracle Database 11g set timing on SQL> select f1() from dual; F1() ———- 60681409 已用时间: 00: 00: 07.29 –禁用结果缓存 session=>true); SQL> select f1() from dual; F1() ———- 60681409 已用时间: 00: 00: 03.60 –启用结果缓存
53230编辑于 2022-08-27 - 来自专栏安恒信息
漏洞预警 | CPU数据缓存机制存在设计缺陷
安全漏洞公告 近日,来自于谷歌Project Zero安全团队的安全研究人员等报告,在CPU内核中,存在关于数据缓存边界机制的设计缺陷的“Meltdown”、“Spectre”的两个漏洞,漏洞对应的CVE 漏洞编号分别为:CVE-2017-5754、CVE-2017-5753。 目前该漏洞的部分测试程序已经在互联网上公开:https://github.com/turbo/KPTI-PoC-Collection 安全漏洞描述 处理器数据缓存边界机制中存在一个缺陷,攻击者可以通过滥用 “Meltdown”漏洞攻击点可用于打破应用程序和操作系统之间的内存数据隔离,“Spectre” 漏洞攻击点则可用于打破不同程序之间的内存数据隔离。 上下文切换不会立即发生,会强迫处理器转储已缓存的数据、重新从内存中加载相关信息。
98381发布于 2018-04-10 - 来自专栏网络安全技术点滴分享
BIND缓存投毒漏洞CVE-2025-40778技术分析
概述CVE-2025-40778是一个存在于BIND DNS服务器中的缓存投毒漏洞,攻击者可在特定情况下通过未经请求的资源记录向DNS缓存注入伪造数据。 漏洞描述在特定情况下,BIND在从应答中接受记录时过于宽松,允许攻击者向缓存中注入伪造数据。 该漏洞影响以下BIND 9版本:9.11.0 至 9.16.509.18.0 至 9.18.39 9.20.0 至 9.20.139.21.0 至 9.21.129.11.3-S1 至 9.16.50 -S19.18.11-S1 至 9.18.39-S19.20.9-S1 至 9.20.13-S1技术详情漏洞基本信息发布日期: 2025年10月22日 16:15最后修改: 2025年10月22日 21 CAPEC-142: DNS缓存投毒漏洞时间线动作类型旧值新值新增描述漏洞描述内容新增CVSS V3.1AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N新增CWECWE-349新增参考
55710编辑于 2025-11-03 - 来自专栏全栈程序员必看
漏洞挖掘——实验11 侧信道攻击+TCPIP实验
解答 Lab 侧信道攻击 + TCP/IP实验 一、侧信道攻击 这次测信道攻击的漏洞的主要原因是:1、密码是逐个字符判断的。 2、输入正确字符和错误字符造成的判断时间相差较大,由于此两点原因,我们可以根据漏洞程序的执行时间逐步判断密码的每一位字符是否正确,从而最终猜解出密码。 t=124209 XSS:跨站脚本,是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。 这篇文章介绍的是博客大巴存储型XSS漏洞,主要是“附加信息”的内容过滤不严,导致漏洞。文章演示了很多攻击方式利用此漏洞,包括:窃取Cookie、渗透路由器、读取本地文件等。 6、XSS漏洞的触发条件有哪些?应该如何防范? 触发条件: 1、插入javascript和vbscript正常字符。
1K30编辑于 2022-09-14 - 来自专栏谢公子学安全
通达OA V11.X版本RCE漏洞
具体是V11的哪个版本,自己去网上下载包测试 从网上下载后 虚拟机搭建完成 执行漏洞利用 利用成功 警告:该EXP会删除OA所需要的php文件来绕过验证,因此攻击不是无损的,在使用该漏洞时慎重慎重
86530编辑于 2022-01-20 - 来自专栏网站漏洞修复
Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日
2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞是Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木马后门到网站服务器中去 Apache Struts 漏洞描述 某知名的安全组织向Apache Struts官方反馈了该漏洞的详细细节,其中就包括了之前版本出现的漏洞都是因为commons fileupload上传库而导致产生的口袋 ,目前的apache版本都在使用低版本的commons fileupload库,大多数都默认使用,导致攻击者可以利用上传漏洞,进行远程代码执行,提权,攻击服务器。 Apache Struts 2.5.10以上的高版本,不受此次漏洞的影响。
72130发布于 2019-07-24 - 来自专栏云鼎实验室的专栏
2025年11月企业必修安全漏洞清单
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 以下是2025年11月份必修安全漏洞清单: 一、React Native CLI 命令注入漏洞(CVE-2025-11953) 二、Anyscale Ray 远程代码执行漏洞(CVE-2025-34351 https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html 八、 Fortinet FortiWeb
13410编辑于 2026-04-09 - 来自专栏网络安全技术点滴分享
WordPress LiteSpeed缓存插件漏洞:调试日志泄露导致会话Cookie劫持
CVE-2024-44000 概述CVE-2024-44000 是 LiteSpeed Cache WordPress 插件中的一个未经身份验证的账户接管漏洞。该插件目前拥有约 600 万活跃安装。 CVE-2024-44000 详解CVE-2024-44000 是 WordPress LiteSpeed Cache 插件中的一个关键漏洞,它允许攻击者通过从调试日志中窃取 Cookie 来实现未经身份验证的账户接管 此漏洞对使用此插件的 WordPress 安装构成了重大风险,尤其危害了机密性和访问控制。
10710编辑于 2026-01-23 - 来自专栏玄魂工作室
看代码学安全(11) - unserialize反序列化漏洞
下面是 第11篇 代码审计文章: Day 11 - Pumpkin Pie 题目如下: ? 漏洞解析:(上图代码第11行正则表达式应改为:’/O:d:/‘) 题目考察对php反序列化函数的利用。 代码 11行 ,第一个if,截取前两个字符,判断反序列化内容是否为对象,如果为对象,返回为空。php可反序列化类型有String,Integer,Boolean,Null,Array,Object。 通过可控的类变量,触发自动调用的魔术方法,以及魔术方法中存在的可利用点,进而形成反序列化漏洞的利用。 该漏洞出现于 install.php 文件 230行 ,具体代码如下: ? 在上图代码 第3行 ,对Cookie中的数据base64解码以后,进行了反序列化操作,该值可控,接下来看一下代码触发条件。 修复建议 造成该漏洞的原因主要有两点: 当 config.inc.php 文件存在的时,可绕过判断继续往下执行代码。
1.2K30发布于 2018-12-19 - 来自专栏卓文见识
Web缓存欺骗中毒(DeceptionPoisoning)漏洞挖掘及实战案例全汇总
1、漏洞理解 1)web缓存机制 当下很多web系统使用web缓存功能来存储一些经常检索的文件,以减少Web服务器响应的延迟和减轻服务器上的负载。 2)缓存中毒 缓存中毒的攻击流程很简单,最相像的漏洞利用是CORS,即在正常请求中添加X-Forwarded-Host头,对于这个XFH头的解释: ? 4、漏洞挖掘 在挖掘web cache漏洞的时候首先要确定web系统架设了CDN,负载均衡器或反向代理等缓存设备,其次观察返回头是否设置缓存控制头Cache Control:no-cache,max-age 除此之外: 1)缓存欺骗 此漏洞存在需要满足两个条件: 1)Web缓存功能设置为通过URL的扩展名来判断是否进行缓存文件,且忽略任何缓存头。 5、漏洞防御 防御措施主要包括3点: 1)设置缓存机制,仅仅缓存httpcaching header允许的文件,推荐的防御手段; 2)如果缓存组件提供选项,设置为根据content-type进行缓存;
8.6K23发布于 2019-09-29 - 来自专栏绿盟科技安全情报
【安全更新】微软11月安全更新多个产品高危漏洞
通告编号:NS-2020-0065 2020-11-11 TAG: 安全更新、Windows、Office、Exchange Server、Defender 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 北京时间11月11日,微软发布11月安全更新补丁,修复了112个安全问题,涉及Microsoft Windows、Microsoft Office、Microsoft Exchange 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有17个,重要(Important)漏洞有93个,2个 低危(Low)级别漏洞。 根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞,请相关用户重点进行关注: Windows 网络文件系统远程代码执行漏洞(CVE-2020-17051): Windows NFS v3服务器中存在可远程利用的堆溢出漏洞 微软目前没有披露此漏洞的详细信息,根据Windows Print Spooler的历史漏洞,可与其他漏洞组合利用实现控制主机并进一步在网络中传播。
1.3K10发布于 2020-11-16 - 来自专栏Leetcode名企之路
【缓存】缓存穿透、缓存雪崩、缓存击穿
原文:https://www.cnblogs.com/raichen/p/7750165.htm 缓存穿透 概念 缓存穿透是指查询一个一定不存在的数据,由于缓存是不命中时需要从数据库查询,查不到数据则不写入缓存 缓存雪崩 概念 大量的key设置了相同的过期时间,导致在缓存在同一时刻全部失效,造成瞬时DB请求量大、压力骤增,引起雪崩。 解决办法 从业务层面。 可以给缓存设置过期时间时加上一个随机值时间,使得每个key的过期时间分布开来,不会集中在同一时刻失效。 缓存击穿(并发) 概念 高并发系统,如果一个缓存失效,存在多进程同时查询DB,同时更新缓存。 这对缓存和DB都是比较大的挑战。 解决办法 使用互斥锁(mutex key): 这种解决方案思路比较简单,就是只让一个线程构建缓存,其他线程等待构建缓存的线程执行完,重新从缓存获取数据就可以了(如下图) ?
2.9K20发布于 2018-10-25 - 来自专栏鳄鱼儿的技术分享
Redis缓存:缓存穿透、缓存击穿、缓存雪崩
☘️解决思路 思路一:由于缓存穿透是因为缓存没有生效,是否可以针对DB不存在的数据设置缓存空值,让请求到缓存就OK。缓存的有效时间可以设置短点,如30s,避免误伤正常业务。 缓存击穿 缓存击穿是指数据库有,缓存没有的数据,大量请求访问这个缓存不存在的数据,最后请求打到DB可能导致DB宕机。 思路二:对于热点数据采用隔离环境,即便热点环境宕机也不会影响到正常环境,一般而言不需要隔离,其成本比较大,只有在大型活动中才可能采用,如618、双11等。 缓存雪崩 缓存雪崩是指数据库有,缓存没有的数据,大量请求访问这些缓存不存在的数据,最后请求打到DB可能导致DB宕机。 缓存一致性 缓存一致性指的是缓存与DB之间的数据一致性,我们需要通过各种手段来防止缓存与DB不一致,我们要保证缓存与DB的数据一致或者数据最终一致。 ☘️解决思路 思路一:先删除缓存再更新数据。
1.1K10编辑于 2024-05-22 - 来自专栏老铁丁D
缓存穿透,缓存雪崩,缓存击穿
缓存穿透 缓存穿透是指查询一个一定不存在的数据,即缓存和数据库中都没有的数据。 由于缓存不命中,并且出于容错考虑,如果从数据库查不到数据则不写入缓存,这将导致这个不存在的数据每次请求都要到数据库去查询,失去了缓存的意义。 id=-1 查询一条id为-1的数据 如何解决缓存穿透 一:对查询不到的数据也做缓存处理,只是过期时间设置短一些! 缓存击穿 缓存击穿是指缓存中没有但数据库中有的数据(一般是缓存时间到期),这时由于并发用户特别多,同时读缓存没读到数据,又同时去数据库去取数据,引起数据库压力瞬间增大,造成过大压力 如何解决缓存击穿 一 ,但是缓存过期后,没有数据提供 如何解决缓存雪崩 分成事前,事中,事后三步骤 事前 一:错开设置过期时间(比如电商缓存商品可以对商品过期时间加一个随机因子,错开缓存过期时间) 发生缓存雪崩之前,事情之前
2.1K30编辑于 2022-08-12 - 来自专栏Java知识图谱
Caffeine缓存 最快缓存 内存缓存
二、缓存简介 (一)缓存对比 从横向对常用的缓存进行对比,有助于加深对缓存的理解,有助于提高技术选型的合理性。下面对比三种常用缓存:Redis、EhCache、Caffeine。 :缓存都是使用内存作为存储媒介的,各种缓存服务的区别如下:Caffeine是内存型缓存是指缓存与调用者属于同一个应用,准确的说属于同一个JVM;Redis是指另外一个独立进程的内存型,缓存数据存储在Redis (二)本地缓存 本地缓存与分布式缓存对应,缓存进程和应用进程同属于一个JVM,数据的读、写在一个进程内完成。本地缓存没有网络开销,访问速度很快。 Caffeine是基于Guava Cache增强的新一代缓存技术,缓存性能极其出色。 1、Map JDK内置的Map可作为缓存的一种实现方式,然而严格意义来讲,其不能算作缓存的范畴。 若涉及多级缓存或者多种缓存共用,其它需要网络传输或者持久化的缓存需要序列化,Caffeine尽管也使用实现序列化的实体类,但是不做序列化操作。 不需要序列化,降低了缓存使用难度。
3.7K30编辑于 2022-01-21 - 来自专栏FreeBuf
暗藏 11 年的 Linux 漏洞曝光,可用于伪造 SUDO 命令
近日,有研究人员发现,Linux 操作系统中的 util-linux 软件包 wall 命令中存在一个漏洞,该漏洞名为 WallEscape,被追踪为 CVE-2024-28085,黑客能够利用该漏洞窃取密码或更改剪贴板 利用WallEscape 漏洞攻击的方式 据调查,该漏洞已存在 11 年之久,也就是说该软件包 2.40 版本前的每个版本都存在该漏洞。 由于在处理通过命令行参数输入时,转义序列会被过滤,因此无权限用户可利用该漏洞,使用转义控制字符在其他用户的终端机上创建假的 SUDO 提示,并诱使他们输入管理员密码。 目前,WallEscape 的概念验证利用代码已经发布,同时也公布了攻击者利用该漏洞的技术细节。 除了技术细节外,研究人员还介绍了可能导致不同结果的利用方案。 研究人员在漏洞报告中提供了设置陷阱和运行攻击的演示代码,并解释了两种利用方案的工作原理。
63810编辑于 2024-04-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号